7 de diciembre de 2008

ATAQUES CONTRA LA SEGURIDAD EN LA RED

Introducción


Cuando hablamos de un ataque en la red, realmente estamos hablando de una condición del entorno del sistema de información, sea una persona, máquina, suceso o idea que, dada una ocasión, podría dar lugar a que se produjese una violación de la seguridad, ya sea de su confidencialidad, integridad, disponibilidad o uso legítimo.

Tipología de estos ataques

Un ataque se define concretamente como la realización de una amenaza. Las cuatro categorías generales de amenazas o ataques son las siguientes:

-Interrupción: Categoría general de amenaza que consiste en que un recurso del sistema es destruido o se vuelve no disponible. Este es un ataque contra la disponibilidad de un sistema. Algunos ejemplos generales sobre este tipo de amenaza podrían ser la destrucción de un elemento hardware, como un disco duro, cortar una línea de comunicación o deshabilitar el sistema de gestión de ficheros.

-Intercepción: Categoría general de amenaza que consiste en que una entidad no autorizada consiga acceso a un recurso. Este es un ataque contra la confidencialidad. Cuando nos referimos a entidad no autorizada nos referimos a una persona, un programa o un ordenador. Algunos de los ejemplos más comunes de este ataque son la intercepción de datos, cuyo ejemplo sería pinchar una línea para hacerse con datos que circulen por la red y la copia ilícita de ficheros o programas. Otro ejemplo es la intercepción de identidad, proceso producido a través de la lectura de las cabeceras de paquetes para desvelar la identidad de uno o más de los usuarios implicados en la comunicación observada ilegalmente.

-Modificación: Categoría general de amenaza que consiste en que una entidad no autorizada consigue acceder a un recurso, pero además es capaz de manipularlo para su propio beneficio, o perjuicio del propietario. Este es un ataque contra la integridad. Claros ejemplos de este ataque son el cambio de los valores de un archivo de datos, la alteración de un programa para que funcione de forma anormal o la modificación del contenido de mensajes que están siendo transferidos a través de la red.

-Fabricación: Categoría general de amenaza que consiste en que una entidad no autorizada inserta objetos falsificados en el sistema. Este tipo de amenaza va en contra de la autenticidad. Buenos ejemplos de este tipo de ataque o amenaza son la inserción de mensajes en una red o el añadir registros a un archivo. Estos ataques se pueden asimismo clasificar de forma útil en términos de ataques pasivos y ataques activos.

Dentro de estas cuatro categorías generales se encuentran los virus más comunes (troyanos, gusanos, etc) pero además también se encuentra un tipo de ataque muy común últimamente denominado phishing. Este consiste en crear una pagina web con la misma forma que otra perteneciente a un banco y de esta forma obtener contraseñas y números de cuenta.

Noticia que nos informa sobre este delito:

Ejemplos de ataques en la red

Se han detectado ataques masivos de phishing similares a los que afectan a la banca electrónica en algunas redes sociales como Facebook o Hi5. El ataque llega a partir de un correo electrónico de un amigo que invita al navegante a darse de alta en alguna de estas redes.

Una persona fue culpable de hacerse ilegalmente con datos informáticos, modificar, borrar y deteriorar informaciones y perturbar de forma continuada sistemas informáticos.
El joven ciberpirata fue acusado de infiltrarse en los sistemas informáticos de la NASA que contenían datos científicos, utilizó las contraseñas del personal autorizado y los vínculos de seguridad de estos servidores en la red para crear una red de chat para sus contactos.)

Piratas informáticos robaron información confidencial de los ordenadores de Obama y McCain. Ahora la casa blanca, el FBI y los servicios secretos investigan sobre lo que sucedió.

Soluciones a los ataques y cómo defenderse de estos ataques.


La defensa contra los ataques dirigidos debe contemplar tres aspectos fundamentales:

-Una adecuada política de seguridad.

-Formación de los usuarios de la red.

-Utilización de herramientas tecnológicas adecuadas, debiendo contemplar a su vez un control de accesos de máquinas y usuarios a la red, la gestión de vulnerabilidades de software y hardware y, por último, la utilización de soluciones antimalware.

Las soluciones multicapas antivirus y anti-Spyware ofrecen una protección sólida con arquitectura de refuerzo automatizado que minimiza el tiempo necesario para proteger completamente los equipos contra virus, gusanos, ataques bot y Spyware.

Vídeo que nos explica un ejemplo de creación de un gusano y sus repercusiones.

Las amenazas que ponen en peligro la seguridad de los sistemas más avanzados son cada vez más sofis­ticadas.

Normalmente los hackers elaboran virus y otros tipos de software malintencionados para ser propagados por las redes utilizando diversos agentes, siendo un riesgo importante que puede provocar desde períodos de inactividad costosos hasta la pérdida de datos vitales.
Las redes de las empresas tienen tres puntos débiles: las pasarelas, los servidores y los clientes.

Hoy en día los encargados de seguridad de la red tienen que adoptar un enfoque multinivel que cubra cada uno de los puntos más vulnerables.

Si el caso es dentro de una empresa muy grande en internet, como por ejemplo Google, debe haber un departamento entero únicamente para controlar que no se produzcan ataques y si se producen poder contrarrestarlos.


Ejemplo de solución contra los delitos en la red:

He aquí un ejemplo de ordenadores a prueba de hackers totalmente infalible.


Leyes y derechos para los usuarios en Internet


Existen algunos derechos y leyes que regulan los actos de los cibernautas en Internet, con estas leyes y derechos se pretende tener de un modo más ordenado y legalizado el tránsito de los usuarios a la hora de navegar y utilizar Internet.
Algunas de las leyes son estas:

Reglamento de desarrollo de la Ley Orgánica de de protección de datos de carácter personal.
Ley que prevé en su artículo 1 que «tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal». Comprende por tanto el tratamiento automatizado y el no automatizado de los datos de carácter personal. A fin de garantizar la necesaria seguridad jurídica en un ámbito tan sensible para los derechos fundamentales como el de la protección de datos.

Ley 11/2007 para el acceso electrónico de los ciudadanos a las Administraciones Públicas.
La Ley para el Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAE) reconoce a los ciudadanos su derecho a relacionarse electrónicamente con las administraciones públicas, así como la obligación de éstas a garantizar ese derecho.


Puntos más destacables de la Ley son:

Los ciudadanos verán reconocidos nuevos derechos en sus relaciones con las administraciones públicas.
La creación de la figura del Defensor del Usuario.
Las administraciones tendrán la obligación de hacer estos derechos efectivos a partir de 2009.
Los trámites y gestiones podrán hacerse desde cualquier lugar, en cualquier momento.
La administración será más fácil, más ágil y más eficaz. Los ciudadanos pasan a tomar el mando en sus relaciones con la administración. Es una ley de consenso. En su elaboración han participado todas las administraciones, de ciudadanos, de partidos, de empresas y asociaciones. Sólo dos países tienen una norma con un contenido tan avanzado.

Circular 1/2006 del Fiscal General del Estado sobre los delitos contra la propiedad intelectual e industrial tras la reforma de la ley orgánica 15/2003
La reforma introduce además otras novedades en la regulación de estos tipos delictivos, que requieren establecer unos criterios de interpretación y actuación unitaria del Ministerio Fiscal en la persecución eficaz de las conductas que vulneran estos derechos que el legislador ha considerado son merecedoras de un reproche de naturaleza penal.

Ley de servicio de la sociedad de la información. (LSSI)
La Ley ofrece, así mismo, una regla para determinar en qué lugar se entiende celebrado un contrato electrónico. Así, si el contrato se celebra con un consumidor, se entenderá celebrado en su lugar de residencia habitual y si se celebra entre empresarios o profesionales, en el lugar en que esté establecido el prestador de servicios. Esta regla es una simple presunción, que puede ser alterada en ambos casos por las partes, mediante un acuerdo por el que se fije, como lugar de celebración del contrato, un lugar distinto.
Las infracciones previstas por el incumplimiento de las obligaciones establecidas en la LSSI se califican como leves (Multa de hasta 30.000 euros), graves (Multa de 30.001 a 150.000 euros) y muy graves (Multa de 150.001 a 600.000 euros), imponiéndose en cada caso las correspondientes sanciones.

Derechos de la LSSI para el usuario.
· Derecho a obtener información sobre los prestadores de servicios (nombre, domicilio, dirección de correo, etc.) los precios de los productos o los servicios que ofrecen con indicación de los impuestos y gastos de envío.
· Respeto a la publicidad, derecho a conocer la identidad del anunciante, a no recibir mensajes promocionales no solicitados y a dejar de recibir los que hubiera autorizado.
· En la contratación, derechos a conocer los pasos necesarios para la contratación por Internet, a acceder a las condiciones generales de la contratación antes de realizar su pedido y a obtener un acuse del recibo del vendedor que le asegure que su pedido ha llegado al vendedor.
· Si el consumidor realiza una compra a través de Internet, además se beneficia del régimen de protección que contempla la ley de ordenación del comercio minorista para todas las ventas a distancia.


Ejemplo: Derecho de autor, para combatir con los ataques en la red.

“El Parlamento Europeo pide clarificar el estatuto de los blogs”.

El pleno del Parlamento Europeo aprobó una resolución en la que respalda que se abra un debate para clarificar el estatuto de los 'blogs' y defiende que se protejan los derechos de autor de los medios 'online'. Los eurodiputados defienden una mayor transparencia para los datos personales conservados por los buscadores de Internet como Google, los proveedores de correo electrónico como Hotmail y Yahoo y los sitios de redes sociales como Facebook.
Los eurodiputados defienden la protección de los derechos de autor en los medios de comunicación en Internet y que "las terceras partes (que utilizan información publicada en la red) tengan que mencionar la fuente cuando citen declaraciones".
La Eurocámara considera que las normas sobre concentración de los medios de comunicación deberían regular no sólo la propiedad y producción de los contenidos, sino también los canales y mecanismos de distribución electrónicos para el acceso y la difusión de contenidos en Internet. En este sentido, insta a revelar la propiedad de los soportes de todos los medios para aumentar la transparencia.
La resolución advierte del "riesgo considerable" de que los medios de comunicación pierdan su función de "guardianes de la democracia" debido a la lógica comercial que suele guiar a las empresas informativas y de comunicaciones privadas, motivo por el cual el texto defiende que la preservación del pluralismo en los medios "no debe confiarse exclusivamente a los mecanismos de mercado".

Para concluir queremos decir, que estamos en total acuerdo con la imposición de las leyes y derechos anteriormente citados, ya que de otra forma Internet terminaría siendo un caos y no se respetaría ni la intimidad ni la privacidad de las personas.

Por otro parte nos gustaría que todo el tema tratado estuviera más presente en la sociedad y que ésta tuviera más conocimiento al respecto. Desde nuestro punto de vista este tema no se está llevando con suficiente seriedad, tampoco por parte de los gobiernos. Esto sólo cambiará cuando suceda algo que realmente produzca muchos daños, es solo cuestión de tiempo.

1 comentario:

VÍCTOR dijo...

- Introducción clara al tema a tratar.
- Correcto uso de hipervínculos.
- Muy interesantes los vídeos y ejemplos de ataques en Internet.
- Por poner una pega diré que habéis dejado demasiados espacios en blanco entre los párrafos.
- Buen trabajo.